风险评估流程及标准 PPT
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
结果定性
业务系统评估内容
支撑系统
应用系统
IT
业
务
系
统
评
估
前置系统
中间件
数据库
安全系统
管理安全
物理安全
业务相关性分析,根据信息
数据流向,对整个业务系统
进行综合评估。
管理安全评估特点
•
•
•
•
•
针对策略、流程、资产、人员管理
后续改善工作就是持续得过程
内容广泛
历时较长
效果不直接
管理安全评估内容
IT管理安全评估
文档审计
策略文档
顾问访谈
资产管理
问卷调查
流程管理
实地考察
规章制度
安全组织
资产统计
入网流程
岗位职责
策略发布
资产定级
维护流程
登记制度
策略修订
资产维护
备份流程
人员流动
应急流程
保密制度
项目得主要阶段
1-项目准备与范围确定
5-体系规划与策略方案阶段安
项目计划
全体系设计、安全规划3-评估过:项目组织结构、人员确认
提出解决方案
总结经验教训
到
达
现
场
电
话
安全服务部
是
否
是否要现场支持
否
提供其他资源
问题是否解决
是
记录并存档
安全通告服务
• 系统地向用户传递最新安全技术与安全信息
安全培训服务
•
•
•
•
•
•
•
安全管理培训
评估方法培训
安全审计培训
安全加固培训
定制培训
CISP培训
……
•
•
•
•
遵循以下标准:
ISO 17799/BS7799
资产拥有者
价值
弱点
影响
后果
现有安
全措施
风险
影响
可能性
影响
威胁来源
概率
威胁
安全风险评估组件
资产调查
工具扫描弱点
主机弱点人工评估
基线安全评估
网络配置弱点评估
安全设备弱点评估
保
护
对
象
分
析
安
全
威
胁
评
估
网络架构安全评估
业务系统安全评估
基线安全评估特点
•
•
•
•
•
就是一种技术评估
操作最简单
内容最基础
历时最短
结果最直观
•顾问组 果基础上(评估记录单、
•IT保障框架
问卷、访谈记录),完成综
group A----网络架构、安全设备评估
•安全策略报告
合的风险评估报告和现状
group B----应用安全、策略及威胁评估
•安全建设方案建议报告•
报告
•专业组:
•
工具小组----终端设备评估
人工小组----核心设备评估
2-项目定义与蓝图
系统分类
登录检查
范围选定
控制台操作
账号口令
准备阶段
登录授权
风险规避
检查项审核
一人操作一人监督
开始检查
检查项列表
保密协议
操作记录
无写操作
检查40-60分钟
现场培训
配合人员
大家学习辛苦了,还是要坚持
•继续保持安静
网络架构评估特点
•
•
•
•
•
技术+管理评估
过程复杂
内容广泛
历时较长
结果分定性与定量
网络架构评估内容
全体系框架设计报告
需求调研,背景讨论
根据蓝图规定,在综合了
风险评估
•评估设备范围整理(甲方)
•威胁评估(评估模型)
•风险评估方案的确定()
•小组group工作:各team中又各分两个小组
范围确定
•依据ISO
17799的安全管理标准
专业组和顾问组的评估成
资产管理与风险信息库
•双方项目组通讯录(甲方涉及到的各
• ISO/IEC TR 13335 分成5 个部分:
国家标准《信息安全评估指南》-风险
评估要素关系图
业务战略
依赖
脆弱性
利用
威胁
暴露
具有
未被满足
增加
风险
抵御
可能诱发
残余风险
资产价值
成本
增加
演变
安全事件
资产
导出
降低
未控制
安全需求
被满足
安全措施
方框部分得内容为风险评估得基本要素,椭圆部分得内容就是与这些
规范文档
运维管理
日常维护
网络拓扑
网
络
架
构
评
估
接入规范
变更记录
运行维护
数据安全
安全管理
密码策略
日志策略
网络管理
审核策略
产品部署
应急管理
安全域划分
安全控制
联系列表
应急流程
应急预案
网络架构评估方法
网络架构方面安全问题分为8个大类
每个类内容有3-5个子类
每个子类分为3-8个子项
每个子项分为5-15个知识点
安全策略制定
•安全体系及建设规划建议报告
•
以kickoff
meeting为启动标志
资产调查
方法:
项目工作环境
网络安全管理与技术解决方案
•基础工作:资产调查
•根据业务、设备等的评估结果安
方法:
• 之前做好会前沟通和准备。如:
等级保护与分域保护
Kick off
•资产评估(评估模型)
•评估方法介绍()
•分team工作:顾问评估、专业安全评估
基线安全评估内容
基线安全评估
BaseLine Security Evaluation
工具扫描(Scanning)
登录检查(Login Check)
Information(信息)
Configuration(配置)
Weak Pass(弱口令)
Mechanism(安全机制)
Vulnerability(漏洞)
紧急响应
安全咨询
安全风险评估
基线安全评估
网络架构评估
管理安全评估
业务系统评估
安全评估组件得关系
安全风险
安全体系
建设
评估
安全规划
安全
策略
安全
解决方案
周期评
估加固
资产价值
安全
培训
安全项
目建设
应急
响应
•
•
•
•
•
安全评估服务体系
风险评估内容与过程
风险评估服务组件
公司介绍
成功案例介绍
半定量分析模型
信息资产
6
售后服务
安全通告服务
项目阶段与提交文档
1
项目计
划
2
需求调研
组织结
构
项目人
员
项目范
围
3
BS7799
审计报告
安全策略
建议
项目蓝图
4
安全风险评
估报告
安全策略评
估报告
安全解决方
案建议
5
客户安全现状
总体安全
解决方案
总体策略建
议
6
安全漏洞
跟踪、紧
急响应、
安全通告
服务、日
常安全信
息库维护
•
•
•
•
•
安全评估服务体系
ISO 13335
GB《信息安全风险评估指南》
ISO17799(BS7799)
•
•
•
•
•
•
•
•
•
•
BS7799-1:1999(即ISO/IEC 17799:2000),信息安全管理实施细则(Code of Practice
for Information Security Management),从10 个方面定义了127 项控制措施,可
1
2
完成详细方案设计
定义详细项目范围
定义报告格式
定义项目目标
作好网络环境准备
完成蓝图并与用户签署
3
5
•网络架构评估(网络架构、接入方式等
•甲方项目组各负责人根据提供的需要
部门或者各业务系统的负责人)
)
准备的各类资料进行准备(双方)
•实施计划草案
•安全设备评估(安全产品策略收集、防
•提交项目各阶段的报告模版并双方确
根据稳定性、安全性、冗余性、扩展性、经济
性、易于管理性共六项内容对每个知识点进
行分配权重
按照可选、必选得规则
定义8大类得比重
进行综合加权评估
网络架构评估结果
•
•
•
•
网络安全状况分级
安全风险分布图表
最严重得安全问题列表
安全风险综述
业务系统评估特点
•
•
•
•
•
针对业务与应用
过程复杂
内容与业务关系密切
历时较长
与维护信息安全管理系统得要求,指出实施机构应
该遵循得风险评估标准,当然,如果要得到BSI 最终得
认证(对依据BS7799-2 建立得ISMS 进行认证),还有
一系列相应得注册认证过程。作为一套管理标
准,BS7799-2 指导相关人员怎样去应用ISO/IEC
17799,其最终目得,还在于建立适合企业需要得信
•风险评估流程及标准
安全评估体系及标准
•
•
•
•
•
安全评估服务体系
风险评估内容与过程
风险评估服务组件
ISO/IEC 17799(BS7799)、ISO/IEC TR 13335
国家标准《信息安全评估指南》
安全评估体系
全面安全解决方案
(Total Solution)
安全加固
安全产品部署
客户需求定制
安全培训
Local Vul、(本地漏洞)
Sharing(共享)
Foresic(入侵取证)
工具扫描
扫描器终端
漏洞库升级 接入IP地址 交换机端口 电源网线 范围列表
准备阶段
扫描申请报告授权
风险规避
扫描范围核实
保密协议
非业务高峰期 双机热备分开 拒绝服务项关闭 固定范围
开始扫描
扫描30-60分钟
配合人员
现场培训
风险评估内容与过程
风险评估服务相关组件
公司介绍
成功案例介绍
风险评估得跟进支持组件
cost
安全培训
应急响应
安全信息通告
安全加固
Osstmm2、1
time
安全加固服务流程
安全加固流程图
网络优化方案及系统加固方案
根据规范及系统特点生成风险规避方案
新加固方案
提交实施申请方案
实施加固
修改方案
与用户确认
系统加固
要素相关得属性。风险评估围绕着资产、威胁、脆弱性与安全措施这些基
本要素展开,在对基本要素得评估过程中,需要充分考虑业务战略、资产价
值、安全需求、安全事件、残余风险等与这些基本要素相关得各类属性。
业务连续性管理(Business continuity management);
符合性(pliance)。
BS7799-2 就是建立信息安全管理系统(ISMS)得一套
规范(Specification for Information Security
Management Systems),其中详细说明了建立、实施
息安全管理系统(ISMS)。
ISO/IEC TR 13335
• ISO/IEC TR 13335,即IT 安全管理指南(Guidelines for the Management of IT
Security,GMITS),就是由ISO/IEC JTC1 制定得技术报告,就是一个信息安全管理
方面得指导性标准,其目得就是为有效实施IT 安全管理提供建议。
同期记录
现场培训
加固异常
二次评估确认
启用风险规避方案/恢复
放弃加固
一切正常
加固报告
继续加固
系统加固阶段
现状记录及备份
安全设备策略定制
安装安全补丁
文件系统
安全配置
加密通信
用户管理
安全机制
网络及服务
资料文档
其它配置文件
访问控制
日志/备份
数字签名
紧急响应服务
客户
•
•
•
•
•
•
准备
识别
抑制事态发展
恢复系统
会上进行计划的确认
病毒部署等)
认(双方)
会后对于未确认问题最快速度确认
•应用安全评估(业务流程、数据流、业
4-综合评估阶段
务连续性等)
6-支持与维护
网络风险评估报告
•策略评估(文档格式、文档体系、文档
培训
安全现状报告
内容)
漏洞跟踪售后服务
数据导入信息库与整理
•安全审计(调查问卷) 电话热线支持
4
安全需求分析
物理与环境安全(Physical and environmental security);
通信与操作管理(munication and operation management);
访问控制(Access control);
系统开发与维护(System development and maintenance);
供信息安全管理体系实施者参考使用,这10 个方面就是:
安全策略(Security policy);
组织安全(Organization security);
资产分类与控制(Asset classification and control);
人员安全(Personnel security);
业务系统评估内容
支撑系统
应用系统
IT
业
务
系
统
评
估
前置系统
中间件
数据库
安全系统
管理安全
物理安全
业务相关性分析,根据信息
数据流向,对整个业务系统
进行综合评估。
管理安全评估特点
•
•
•
•
•
针对策略、流程、资产、人员管理
后续改善工作就是持续得过程
内容广泛
历时较长
效果不直接
管理安全评估内容
IT管理安全评估
文档审计
策略文档
顾问访谈
资产管理
问卷调查
流程管理
实地考察
规章制度
安全组织
资产统计
入网流程
岗位职责
策略发布
资产定级
维护流程
登记制度
策略修订
资产维护
备份流程
人员流动
应急流程
保密制度
项目得主要阶段
1-项目准备与范围确定
5-体系规划与策略方案阶段安
项目计划
全体系设计、安全规划3-评估过:项目组织结构、人员确认
提出解决方案
总结经验教训
到
达
现
场
电
话
安全服务部
是
否
是否要现场支持
否
提供其他资源
问题是否解决
是
记录并存档
安全通告服务
• 系统地向用户传递最新安全技术与安全信息
安全培训服务
•
•
•
•
•
•
•
安全管理培训
评估方法培训
安全审计培训
安全加固培训
定制培训
CISP培训
……
•
•
•
•
遵循以下标准:
ISO 17799/BS7799
资产拥有者
价值
弱点
影响
后果
现有安
全措施
风险
影响
可能性
影响
威胁来源
概率
威胁
安全风险评估组件
资产调查
工具扫描弱点
主机弱点人工评估
基线安全评估
网络配置弱点评估
安全设备弱点评估
保
护
对
象
分
析
安
全
威
胁
评
估
网络架构安全评估
业务系统安全评估
基线安全评估特点
•
•
•
•
•
就是一种技术评估
操作最简单
内容最基础
历时最短
结果最直观
•顾问组 果基础上(评估记录单、
•IT保障框架
问卷、访谈记录),完成综
group A----网络架构、安全设备评估
•安全策略报告
合的风险评估报告和现状
group B----应用安全、策略及威胁评估
•安全建设方案建议报告•
报告
•专业组:
•
工具小组----终端设备评估
人工小组----核心设备评估
2-项目定义与蓝图
系统分类
登录检查
范围选定
控制台操作
账号口令
准备阶段
登录授权
风险规避
检查项审核
一人操作一人监督
开始检查
检查项列表
保密协议
操作记录
无写操作
检查40-60分钟
现场培训
配合人员
大家学习辛苦了,还是要坚持
•继续保持安静
网络架构评估特点
•
•
•
•
•
技术+管理评估
过程复杂
内容广泛
历时较长
结果分定性与定量
网络架构评估内容
全体系框架设计报告
需求调研,背景讨论
根据蓝图规定,在综合了
风险评估
•评估设备范围整理(甲方)
•威胁评估(评估模型)
•风险评估方案的确定()
•小组group工作:各team中又各分两个小组
范围确定
•依据ISO
17799的安全管理标准
专业组和顾问组的评估成
资产管理与风险信息库
•双方项目组通讯录(甲方涉及到的各
• ISO/IEC TR 13335 分成5 个部分:
国家标准《信息安全评估指南》-风险
评估要素关系图
业务战略
依赖
脆弱性
利用
威胁
暴露
具有
未被满足
增加
风险
抵御
可能诱发
残余风险
资产价值
成本
增加
演变
安全事件
资产
导出
降低
未控制
安全需求
被满足
安全措施
方框部分得内容为风险评估得基本要素,椭圆部分得内容就是与这些
规范文档
运维管理
日常维护
网络拓扑
网
络
架
构
评
估
接入规范
变更记录
运行维护
数据安全
安全管理
密码策略
日志策略
网络管理
审核策略
产品部署
应急管理
安全域划分
安全控制
联系列表
应急流程
应急预案
网络架构评估方法
网络架构方面安全问题分为8个大类
每个类内容有3-5个子类
每个子类分为3-8个子项
每个子项分为5-15个知识点
安全策略制定
•安全体系及建设规划建议报告
•
以kickoff
meeting为启动标志
资产调查
方法:
项目工作环境
网络安全管理与技术解决方案
•基础工作:资产调查
•根据业务、设备等的评估结果安
方法:
• 之前做好会前沟通和准备。如:
等级保护与分域保护
Kick off
•资产评估(评估模型)
•评估方法介绍()
•分team工作:顾问评估、专业安全评估
基线安全评估内容
基线安全评估
BaseLine Security Evaluation
工具扫描(Scanning)
登录检查(Login Check)
Information(信息)
Configuration(配置)
Weak Pass(弱口令)
Mechanism(安全机制)
Vulnerability(漏洞)
紧急响应
安全咨询
安全风险评估
基线安全评估
网络架构评估
管理安全评估
业务系统评估
安全评估组件得关系
安全风险
安全体系
建设
评估
安全规划
安全
策略
安全
解决方案
周期评
估加固
资产价值
安全
培训
安全项
目建设
应急
响应
•
•
•
•
•
安全评估服务体系
风险评估内容与过程
风险评估服务组件
公司介绍
成功案例介绍
半定量分析模型
信息资产
6
售后服务
安全通告服务
项目阶段与提交文档
1
项目计
划
2
需求调研
组织结
构
项目人
员
项目范
围
3
BS7799
审计报告
安全策略
建议
项目蓝图
4
安全风险评
估报告
安全策略评
估报告
安全解决方
案建议
5
客户安全现状
总体安全
解决方案
总体策略建
议
6
安全漏洞
跟踪、紧
急响应、
安全通告
服务、日
常安全信
息库维护
•
•
•
•
•
安全评估服务体系
ISO 13335
GB《信息安全风险评估指南》
ISO17799(BS7799)
•
•
•
•
•
•
•
•
•
•
BS7799-1:1999(即ISO/IEC 17799:2000),信息安全管理实施细则(Code of Practice
for Information Security Management),从10 个方面定义了127 项控制措施,可
1
2
完成详细方案设计
定义详细项目范围
定义报告格式
定义项目目标
作好网络环境准备
完成蓝图并与用户签署
3
5
•网络架构评估(网络架构、接入方式等
•甲方项目组各负责人根据提供的需要
部门或者各业务系统的负责人)
)
准备的各类资料进行准备(双方)
•实施计划草案
•安全设备评估(安全产品策略收集、防
•提交项目各阶段的报告模版并双方确
根据稳定性、安全性、冗余性、扩展性、经济
性、易于管理性共六项内容对每个知识点进
行分配权重
按照可选、必选得规则
定义8大类得比重
进行综合加权评估
网络架构评估结果
•
•
•
•
网络安全状况分级
安全风险分布图表
最严重得安全问题列表
安全风险综述
业务系统评估特点
•
•
•
•
•
针对业务与应用
过程复杂
内容与业务关系密切
历时较长
与维护信息安全管理系统得要求,指出实施机构应
该遵循得风险评估标准,当然,如果要得到BSI 最终得
认证(对依据BS7799-2 建立得ISMS 进行认证),还有
一系列相应得注册认证过程。作为一套管理标
准,BS7799-2 指导相关人员怎样去应用ISO/IEC
17799,其最终目得,还在于建立适合企业需要得信
•风险评估流程及标准
安全评估体系及标准
•
•
•
•
•
安全评估服务体系
风险评估内容与过程
风险评估服务组件
ISO/IEC 17799(BS7799)、ISO/IEC TR 13335
国家标准《信息安全评估指南》
安全评估体系
全面安全解决方案
(Total Solution)
安全加固
安全产品部署
客户需求定制
安全培训
Local Vul、(本地漏洞)
Sharing(共享)
Foresic(入侵取证)
工具扫描
扫描器终端
漏洞库升级 接入IP地址 交换机端口 电源网线 范围列表
准备阶段
扫描申请报告授权
风险规避
扫描范围核实
保密协议
非业务高峰期 双机热备分开 拒绝服务项关闭 固定范围
开始扫描
扫描30-60分钟
配合人员
现场培训
风险评估内容与过程
风险评估服务相关组件
公司介绍
成功案例介绍
风险评估得跟进支持组件
cost
安全培训
应急响应
安全信息通告
安全加固
Osstmm2、1
time
安全加固服务流程
安全加固流程图
网络优化方案及系统加固方案
根据规范及系统特点生成风险规避方案
新加固方案
提交实施申请方案
实施加固
修改方案
与用户确认
系统加固
要素相关得属性。风险评估围绕着资产、威胁、脆弱性与安全措施这些基
本要素展开,在对基本要素得评估过程中,需要充分考虑业务战略、资产价
值、安全需求、安全事件、残余风险等与这些基本要素相关得各类属性。
业务连续性管理(Business continuity management);
符合性(pliance)。
BS7799-2 就是建立信息安全管理系统(ISMS)得一套
规范(Specification for Information Security
Management Systems),其中详细说明了建立、实施
息安全管理系统(ISMS)。
ISO/IEC TR 13335
• ISO/IEC TR 13335,即IT 安全管理指南(Guidelines for the Management of IT
Security,GMITS),就是由ISO/IEC JTC1 制定得技术报告,就是一个信息安全管理
方面得指导性标准,其目得就是为有效实施IT 安全管理提供建议。
同期记录
现场培训
加固异常
二次评估确认
启用风险规避方案/恢复
放弃加固
一切正常
加固报告
继续加固
系统加固阶段
现状记录及备份
安全设备策略定制
安装安全补丁
文件系统
安全配置
加密通信
用户管理
安全机制
网络及服务
资料文档
其它配置文件
访问控制
日志/备份
数字签名
紧急响应服务
客户
•
•
•
•
•
•
准备
识别
抑制事态发展
恢复系统
会上进行计划的确认
病毒部署等)
认(双方)
会后对于未确认问题最快速度确认
•应用安全评估(业务流程、数据流、业
4-综合评估阶段
务连续性等)
6-支持与维护
网络风险评估报告
•策略评估(文档格式、文档体系、文档
培训
安全现状报告
内容)
漏洞跟踪售后服务
数据导入信息库与整理
•安全审计(调查问卷) 电话热线支持
4
安全需求分析
物理与环境安全(Physical and environmental security);
通信与操作管理(munication and operation management);
访问控制(Access control);
系统开发与维护(System development and maintenance);
供信息安全管理体系实施者参考使用,这10 个方面就是:
安全策略(Security policy);
组织安全(Organization security);
资产分类与控制(Asset classification and control);
人员安全(Personnel security);